Como utilizar o valor do registo RestrictAnonymous no Windows 2000

Este artigo descreve como os administradores podem utilizar o valor do registo RestrictAnonymous num computador com o Windows 2000 para restringir o acesso através de ligações anónimas.

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de registo (Registry Editor) ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador.

Um administrador pode configurar um computador com o Windows 2000 de modo a impedir que um utilizador com início de sessão anónimo aceda a todos os recursos à excepção dos recursos aos quais lhe tenha sido explicitamente concedido acesso. Para controlar este comportamento, utilize um dos seguintes métodos.

Nota: se o licenciamento de servidores de terminais estiver a ser executado no computador com o Windows 2000, outros servidores com os serviços de terminal activados não conseguirão pedir licenças ao mesmo.

Snap-in 'Política de segurança local' da MMC

1. Clique em Iniciar (Start), aponte para Programas (Programs), aponte para Ferramentas administrativas (Administrative Tools) e clique em Política de segurança local (Local Security Policy).
   
   Nota: se não conseguir efectuar este passo porque Ferramentas administrativas (Administrative Tools) não é apresentado na lista de programas, clique em Iniciar (Start), aponte para Definições (Settings), aponte para Painel de controlo (Control Panel), clique em Ferramentas administrativas (Administrative Tools) e clique em Política de segurança local (Local Security Policy). Em seguida, avance para o passo 2.
2. Em Definições de segurança (Security Settings), faça duplo clique em Políticas locais (Local Policies) e clique em Opções de segurança (Security Options).
3. Faça duplo clique em Restrições adicionais para ligações anónimas (Additional restrictions for anonymous connections) e clique em Sem acesso sem permissões anónimas explícitas (No access without explicit anonymous permissions) em Definição de política local (Local policy setting).
4. Reinicie o computador membro ou o controlador de domínio para activar a alteração.

Valor do registo RestrictAnonymous

Utilize o Editor de registo (Registry Editor) para ver a chave do registo seguinte e, em seguida, adicione o valor seguinte a esta chave ou modifique-o se já existir: Valor: RestrictAnonymous
Tipo do valor: REG_DWORD
Dados do valor: 0x2 (Hex)

Reinicie o computador depois de efectuar quaisquer alterações à chave do registo RestrictAnonymous.

Quando o valor do registo RestrictAnonymous está definido como 2, o token de acesso criado para utilizadores não autenticados não inclui o grupo Todos (Everyone) e, por causa disso, este token de acesso não tem acesso aos recursos que concedem permissões ao grupo Todos (Everyone). Isto poderá causar um comportamento indesejado porque muitos serviços do Windows 2000, bem como programas de outros fornecedores, dependem das capacidades de acesso anónimo para efectuarem tarefas legítimas.

Por exemplo, quando um administrador num domínio confiante pretende conceder acesso local a um utilizador existente num domínio fidedigno, poderá ser necessário enumerar os utilizadores desse domínio fidedigno. Visto que o domínio fidedigno não pode autenticar o administrador no domínio confiante, pode ser utilizada uma enumeração anónima. As vantagens da restruturação das capacidades dos utilizadores anónimos do ponto de vista da segurança devem ser ponderadas com os requisitos correspondentes dos serviços e programas cuja funcionalidade completa depende do acesso anónimo

As tarefas seguintes são restringidas quando o valor do registo RestrictAnonymous é definido como 2 num controlador de domínio com o Windows 2000:

• As estações de trabalho ou servidores membro de nível inferior não conseguem configurar um canal seguro para início de sessão na rede.
• Os controladores de domínio de nível inferior existentes em domínios confiantes não conseguem configurar um canal seguro para início de sessão na rede.
• Os utilizadores do Microsoft Windows NT não conseguem alterar as respectivas palavras-passe após estas expirarem. Para além disso, os utilizadores de Macintosh não conseguem alterar as respectivas palavras-passe em qualquer circunstância.
• O serviço de browser não consegue obter listas de domínios ou listas de servidores a partir de browsers de reserva, browsers principais ou browsers principais de domínio se estes computadores também tiverem o valor da entrada RestrictAnonymous definido como 2. Assim, qualquer programa que dependa do serviço de browser não funciona correctamente.

Devido a estes resultados, a Microsoft não recomenda a definição do valor do registo RestrictAnonymous como 2 em ambientes mistos que incluam clientes de nível inferior. A definição do valor do registo RestrictAnonymous como 2 só deve ser considerada em ambientes do Windows 2000 e após terem sido efectuados testes de verificação da qualidade destinados a verificar a manutenção dos níveis de serviço e da funcionalidade adequada dos programas.

Nota: os modelos predefinidos de alta segurança definem o valor do registo RestrictAnonymous para 2 e, devido a este facto, a utilização destes modelos deverá ser feita com algum cuidado. Para obter mais informações sobre o valor do registo RestrictAnonymous, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): RestrictAnonymous é definido através da alteração da chave do registo para 0 ou 1 (Windows NT 4.0) ou para 0, 1 ou 2 (Windows 2000). Estes números correspondem às seguintes definições:

0 Nenhum. Utilizar as permissões predefinidas

1 Não permitir a enumeração de contas e nomes SAM

2 Impedir o acesso sem permissões anónimas explícitas